På di.dk anvender vi cookies til en række forskellige formål i forbindelse med funktion, webanalyse og marketing. Klikker du videre på sitet, accepterer du, at der sættes cookies til disse formål. Du kan læse mere om cookies og fravælge brugen af dem på denne side.

Persondata

Persondataloven og den kommende persondataforordning fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI kan rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Persondataloven gælder frem til 25. maj 2018. Efter denne dato gælder EU´s persondataforordning, som bygger på mange af persondatalovens principper.

Fælles for begge regelsæt er, at de finder anvendelse, når en virksomhed foretager elektronisk eller manuel behandling af oplysninger om en person. E-mails, it-baseret sagsbehandling, cloudbaserede systemer og SMS’er er blot nogle få eksempler på elektronisk behandling. Der er tale om manuel behandling, når oplysningerne indgår i et register (for eksempel kartotekskasser, fortegnelser og ringbind).

En ”personoplysning” dækker over mange forskellige typer oplysninger, for eksempel:

  • navn
  • alder
  • adresse
  • CPR-nr.
  • sygdomsperioder
  • medlemskab af en fagforening
  • data fra GPS overvågning.

Begrebet ”behandling” omfatter stort set alt, som man kan udsætte en personoplysning for, herunder indsamling, registrering, opbevaring, videregivelse og sletning.

Hvornår må man behandle personoplysninger

Ifølge både den gældende og kommende lovgivning om personoplysninger, skal enhver indsamling og behandling af personoplysninger opfylde en række generelle krav. Eksempelvis må indsamling af personoplysninger alene ske til udtrykkeligt angivne og saglige formål og en senere anvendelse af oplysningerne må ikke være uforenelig med disse formål.

Derudover skal den enkelte behandling have et grundlag i lovgivningen. Eksempelvis giver loven mulighed for, at en virksomhed kan behandle en række almindelige oplysninger om sine egne medarbejdere for at opfylde sine forpligtelser i henhold til ansættelseskontrakten. I andre tilfælde kan en virksomhed behandle oplysninger om sine medarbejdere, hvis virksomhedens interesse i at behandle oplysningerne overstiger hensynet til medarbejderne. Personoplysninger kan også behandles på baggrund af et klart samtykke fra den enkelte medarbejder.

Nogle typer af oplysninger betragtes som almindelige oplysninger, mens andre oplysninger betragtes som følsomme eller semifølsomme. Følsomme oplysninger er eksempelvis oplysninger om fagforeningsmæssige forhold og helbredsoplysninger, mens semi-følsomme oplysninger eksempelvis kan være oplysninger om strafbare forhold og andre rent private forhold. Generelt skal der mere til før følsomme og semi-følsomme oplysninger kan behandles efter lovgivningen end ved behandling af almindelige oplysninger.

Reglerne om personoplysninger er mange, komplicerede og omfattende. Med den kommende forordning bliver bøderne for overtrædelse af reglerne skærpet betydeligt. I fremtiden vil de værste overtrædelser kunne udløse bøder på op til 20.000.000 euros eller 4 pct. af virksomhedens globale omsætning. Derfor anbefaler DI, at virksomheder søger rådgivning hos juridiske og tekniske specialister.

DI’s rådgivning

DI’s personalejuridiske enheder rådgiver alene sine medlemsvirksomheder om personoplysninger, hvis henvendelsen er nært forbundet med ansættelsesretlige emner.

Det kan som eksempel være i forbindelse med rekruttering af nye medarbejdere. Det kan også være i forbindelse med brug af kontrolforanstaltninger (for eksempel videoovervågning, GPS, kontrol af it samt alkohol- og narkotikatest), hvor der som udgangspunkt vil ske indsamling af persondata om de enkelte medarbejdere.

DI rådgiver ikke om håndtering af personoplysninger, når det f.eks. drejer sig om generelle privatlivspolitikker, krav om databeskyttelsesrådgivere (DPO’ere) og dokumentationskrav samt generelle samarbejdskontrakter, databehandleraftaler og andre ”business to business”-forhold.

Datatilsynet er den relevante myndighed

Datatilsynet fører tilsyn med overholdelse af persondataloven og vil efter 25. maj 2018 også føre tilsyn med overholdelse af persondataforordningen.

Indtil persondataforordningen træder i kraft, vil behandlingen af personoplysninger i visse tilfælde skulle anmeldes til Datatilsynet. Det gælder dog ikke personaleadministrationssystemer, medmindre systemet indeholder oplysninger af følsom karakter, såsom fagforeningsmæssige tilhørsforhold, årsag til sygefravær eller lignende. Datatilsynet kan kontaktes, såfremt virksomheden er i tvivl om, hvorvidt der stilles krav om anmeldelse. Du kan læse mere om behandlingen af personoplysninger på Datatilsynets hjemmeside.

Er din virksomhed klar til den nye persondataforordning?

I Maj 2018 træder ny lovgivning om håndtering af persondata i kraft, og den kan medføre bøder i millionklassen og have store konsekvenser for danske virksomheder.

Derfor har DI udviklet forskellige værktøjer og konkrete skabeloner til hjælp for vores medlemmer.

De kan frit benyttes og downloades, hvis man er logget ind som medlem.

Klar til den nye persondata- forordning?
DI har udviklet forskellige værktøjer og konkrete skabeloner til hjælp for vores medlemmer med at blive klar til den nye persondataforordning, som træder i kraft i maj 2018.
Læs mere om reglerne i forbindelse med persondataloven:
Vi benytter ikke din mailadresse til andet end dette nyhedsbrev. Du kan til enhver tid framelde dig igen her.
PUBLICERET: 09-03-2009 OPDATERET: 21-06-2017